Охота на WhatsUp Gold: хакеры атакуют, компании медлят с обновлениями

Хакеры начали активно эксплуатировать две критические уязвимости в популярном программном обеспечении WhatsUp Gold, разработанном компанией Progress Software. Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.

Уязвимости, получившие идентификаторы CVE-2024-6670 и CVE-2024-6671 , позволяют злоумышленникам извлекать зашифрованные пароли без аутентификации. По сути, они открывают «черный ход» в системы, которые должны быть надежно защищены.

Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.

В своем отчете исследователь объясняет , как недостаточная проверка пользовательского ввода позволяет вставлять произвольные пароли в поля учетных записей администраторов. Это и делает аккаунты уязвимыми для захвата. Компания Trend Micro сообщила , что хакеры начали эксплуатировать уязвимости почти сразу после публикации эксплойтов. Первые признаки атак были зафиксированы уже через пять часов после появления кода в открытом доступе.

Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.

В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.

Хейрхах в комментарии изданию BleepingComputer выразил надежду, что его исследования и опубликованные эксплойты в конечном итоге помогут повысить безопасность ПО в будущем.

В 2024 году это не первый случай, когда WhatsUp Gold оказывается под ударом публично доступных эксплойтов. В начале августа организация Shadowserver Foundation сообщила о попытках эксплуатации уязвимости CVE-2024-4885 , критической ошибки удаленного выполнения кода, раскрытой 25 июня. Эту уязвимость также обнаружил Хейрхах.

Эксперты призывают все организации, использующие WhatsUp Gold, немедленно установить последние обновления безопасности и проверить свои системы на признаки компрометации.